Snortのインストールと初期設定：Snortでつくる不正侵入検知システム（2）（1/3 ページ）

[早川勇太，＠IT]

※ご注意

本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。

　前回「不正侵入検知システムを知る」では、IDS（Intrusion Detection System：侵入検知システム）全般について、および代表的なNIDS（ネットワーク型IDS）であるSnortについて簡単に説明した。今回はSnortをGNU/LinuxシステムとWindowsで構築する方法について解説していく。

GNU/Linuxシステムでの導入方法

　まずはGNU/Linuxシステムでの導入方法について解説していく。基本的には下記の手順で行えばよい。

1. libpcapとlibpcreのインストール
2. Snortのインストールと設定

それでは具体的な手順について見ていこう。

【注】

本記事ではVine Linux 2.6r4で動作確認を行っているが、それ以外のディストリビューションまたはバージョンを用いている場合、出力メッセージなどが異なる可能性がある

libpcapの入手とインストール

　Snortはlibpcapというライブラリを必要としている。そのため、libpcapがシステムにインストールされていない場合、Snortより先にインストールする必要がある。libpcapはパケットキャプチャに必要となるさまざまな機能を提供するライブラリであり、公式サイトから入手できる。本稿執筆時点では0.8.3が最新版である。

【libpcap】

http://www.tcpdump.org/

　早速インストール……といきたいところであるが、その前にすでにインストールされていないか確認した方がよい。そしてそれが古い場合には、できるだけ新しい安定版に差し替えた方がよい。

　確認方法は、各ディストリビューションが採用しているパッケージ方式によって異なる。rpmの場合は下記の手順で確認することができる。なお、$で始まる行は一般ユーザーにて行う作業を示し、#で始まる行はroot権限にて行う作業であることを示す。それ以外はコマンドが出力するメッセージなどであることを示している。

$ rpm -q libpcap
libpcap-0.6.2-13vl4

　上記の結果から、すでにlibpcapの0.6.2がインストールされていることが分かる。これをアンインストールする場合は下記のようにすればよい。

# rpm -e libpcap

　これでシステムからlibpcapがアンインストールされる。

　続いて最新版のlibpcapを取得する。どのような方法でもよいが、今回はwgetを用いた方法を紹介しよう。下記のように入力すれば最新版のlibpcapを入手できる（URIは2004年8月1日現在のもの）。

$ wget -q http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

　これにより、最新版のlibpcapがカレントディレクトリにダウンロードされる。ダウンロードが正常に終了したら、アーカイブの展開、configureスクリプトの実行、コンパイル、インストールの順に作業を行えばよい。

$ tar xvzf libpcap-0.8.3.tar.gz
$ cd libpcap-0.8.3
$ ./configure
（configureスクリプトによる出力が続く）
$ make
（makeによるコンパイル関連の出力が続く）
$ /bin/su
Password:（ここでrootのパスワードを入力）
# make install
（makeによるインストール関連の出力が続く）

　この手順により、/usr/local配下にインストールされる。もし、ほかの場所にインストールしたいのであれば、configureスクリプトのオプションに指定すればよい。

libpcreの入手とインストール

　SnortはlibpcreというPerl互換の正規表現ライブラリも必要としている。もしインストールされていないのであれば、Snortより先にインストールしておく必要がある。

　最新版のlibpcreは公式サイトからリンクをたどることにより入手することができる。本稿執筆時点での最新版は4.3である（URIは2004年8月1日現在のもの）。

【libpcre】

http://www.pcre.org/

$ rpm -q pcre
package pcre is not installed
$ wget -q ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-4.3.tar.gz
$ tar xvzf pcre-4.3.tar.gz
$ cd pcre-4.3
$ ./configure
（configureスクリプトによる出力が続く）
$ make
（makeによるコンパイル関連の出力が続く）
$ /bin/su
Password:（ここでrootのパスワードを入力）
# make install
（makeによるインストール関連の出力が続く）

　ここまででSnortをインストールする準備は整った。ちなみに今回はtarballによるインストール方法を紹介したが、rpmなどのパッケージを使用してもよい。

Index

Snortのインストールと初期設定

Page1

GNU/Linuxシステムでの導入方法

libpcapの入手とインストール

libpcreの入手とインストール

Page2

Snortのインストールと設定

Page3

Windowsでの導入方法